<blockquote>
<p>Hmmm ... its not clear what exploit is used (from just reading the file at the URL you gave).</p>
</blockquote>
<p>I think "DIZZYTACHOMETER" doesn't exploit anything itself, but is just hiding e.g. a rootkit installation by manipulating the rpmdb based on already existing write permissions gained before. I didn't find the binary nor any source for "DIZZYTACHOMETER", but the way of usage makes me assuming "regular" rpmdb manipulations, not a RPM related security flaw.</p>
<blockquote>
<p>The provision in RPM for careful rootkit forensics is to use "rpm -Vp ..." from a CDROM (or other offline/immutable media).</p>
</blockquote>
<p>Immutable media…something that is harder and harder to get when looking to Fedora or RHEL (last with CDN). Sometimes (e.g. at EPEL as 3rd party repository) the RPM package has been already orphaned and thus removed from the repository when it comes to a verification case.</p>
<blockquote>
<p>This isn't an easy problem to solve.</p>
</blockquote>
<p>Right, and I don't expect a quick solution. Just wild ideas: Blockchains for rpmdb? Optionally trusted (digital) timestamping for rpmdb? But yes, maybe also a further verification tool that somehow handles the situation that offline media is going away. I do not have a specific idea how this could be solved, finally.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/rpm-software-management/rpm/issues/196#issuecomment-292949590">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/ANb8030qfTjIS1lp_5ZNiokI8vJLAyekks5rui73gaJpZM4M4Iiv">mute the thread</a>.<img alt="" height="1" src="https://github.com/notifications/beacon/ANb807vazcgKNwvIVoCGOLEuKRVKgqfTks5rui73gaJpZM4M4Iiv.gif" width="1" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/rpm-software-management/rpm/issues/196#issuecomment-292949590"></link>
  <meta itemprop="name" content="View Issue"></meta>
</div>
<meta itemprop="description" content="View this Issue on GitHub"></meta>
</div>

<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/rpm-software-management/rpm","title":"rpm-software-management/rpm","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/rpm-software-management/rpm"}},"updates":{"snippets":[{"icon":"PERSON","message":"@robert-scheck in #196: \u003e Hmmm ... its not clear what exploit is used (from just reading the file at the URL you gave).\r\n\r\nI think \"DIZZYTACHOMETER\" doesn't exploit anything itself, but is just hiding e.g. a rootkit installation by manipulating the rpmdb based on already existing write permissions gained before. I didn't find the binary nor any source for \"DIZZYTACHOMETER\", but the way of usage makes me assuming \"regular\" rpmdb manipulations, not a RPM related security flaw.\r\n\r\n\u003e The provision in RPM for careful rootkit forensics is to use \"rpm -Vp ...\" from a CDROM (or other offline/immutable media).\r\n\r\nImmutable media…something that is harder and harder to get when looking to Fedora or RHEL (last with CDN). Sometimes (e.g. at EPEL as 3rd party repository) the RPM package has been already orphaned and thus removed from the repository when it comes to a verification case.\r\n\r\n\u003e This isn't an easy problem to solve.\r\n\r\nRight, and I don't expect a quick solution. Just wild ideas: Blockchains for rpmdb? Optionally trusted (digital) timestamping for rpmdb? But yes, maybe also a further verification tool that somehow handles the situation that offline media is going away. I do not have a specific idea how this could be solved, finally."}],"action":{"name":"View Issue","url":"https://github.com/rpm-software-management/rpm/issues/196#issuecomment-292949590"}}}</script>